惠普姚翔:大数据同样牵动安全行业

DOIT安全频道 3月20日原创报道: 现在,大数据正在牵动安全行业的走向。

过去一段时间,大数据成功取代云计算成为IT行业最为火热的话题,在引发服务器、存储行业热点话题讨论的同时,在很大程度上影响了企业用户在“大数据时代”下对企业建设数据中心——主要是计算和存储融合基础架构——的思路,而作为行业内重要的企业级IT解决方案提供商,惠普相继发布了与大数据有关的服务器及存储产品,并将其与自身的融合基础设施战略加以结合。

但大数据与安全问题的关联性却一直并不被业界关注,有一种观点认为,大数据最重要的应用领域是企业业务的分析及实时分析,也就是直接对企业的商业运作提供基于事实数据的分析决断,而在这样的需求和目标定位下,大数据被认为只有在商业智能分析等领域具有独特及不可取代的价值。

在今年RSA大会上,大数据与安全领域结合的话题被安全业界的供应商们所提出,而在这其中,惠普是最为积极的一个,不仅在此期间发布了一系列与安全有关的产品及解决方案,更同时宣布成了惠普安全研究(HPSR)机构,以通过发布报告、威胁简报、对惠普安全产品组合进行改进等方式提高企业用户的安全水平。

除此以外,惠普同期发布的《惠普2012年网络安全风险报告》,在这份报告中,惠普认为,安全漏洞的威胁程度在不断上升,并已经开始朝移动网络以及电力网络扩展,而这些威胁扩展的速度已经远远超过安全厂商、企业CIO、安全评估机构所能够缝补与拯救他们的速度,惠普公司认为,企业需要更具前瞻性的、基于事实分析的、深入更深层级数据的安全策略与安全解决方案。

因此,惠普认为,大数据所代表的一系列话题与事实现状:如大量的数据集、低密度的数据价值、越来越多的来自BYOD移动端的数据等,与安全风险防范有着不可分割的关系,而解决大数据问题的思路:高效、实时、数据分析以及融合的基础架构,同样也适用于企业的安全策略与解决方案。

针对大数据与安全行业未来发展方向的结合,DOIT记者前不久也采访了惠普企业安全产品部北亚区总经理姚翔。

姚翔引用美国工程师鲍勃的故事(详情可以微博搜索下)表示,企业的安全防范需要强大的数据分析支撑,仅靠经验和人力远远不够。

大数据时代:企业面临复合型安全风险

《惠普2012年网络安全风险报告》显示,全球风险泄露数量从2011年的6844增至2012年的8137,上升19%;移动漏洞比例迅速增加,从2011年的158个增至2012年的266个,增幅达68%,同时,2012年有48%的被测试移动应用允许未授权的访问;SCADA系统内的漏洞则从2008年的22个增至2012年的191个,激增768%。

针对漏洞激增的趋势,惠普增强了惠普信誉安全监视器1.5(HP Reputation Security Monitor (RepSM 1.5))的功能,通过直接利用来自HPSR的数据帮助客户抵御高级威胁。这些数据增强了对P2P网络使用、潜在鱼叉式网络钓鱼和大量垃圾邮件的识别,同时还能识别随时间变化的攻击模式,如侦查扫描和异常活动水平。

姚翔认为,惠普安全报告揭示出这样一种趋势:企业需要应对越来越多来自不同层面的安全威胁,这使得企业面对威胁越发复杂和复合,而原本针对单一威胁或传统威胁的方法无法进行有效的防御、监视和控制。

姚翔表示,企业需要多重技术面对这些复合型的挑战,需要从“加固受攻击面、加强风险管理、主动保护信息”三个层面考虑安全防范的问题,而在这三个层面,惠普都有相应的企业安全产品技术或与合作伙伴合作实现相关的解决方案。

企业面临复合型安全风险正是大数据时代下的显著特征,这两者之间虽然没有直接、显著的因果关系,但企业面临复合型安全风险的推动力——或者说诱因——也同时在一定程度上促进了大数据时代的发展。

大数据时代的助推动力,很大程度上来自于两个方面:1、原有数据集的不断堆积与膨胀;2、大量新设备接入,也即数据源增多所导致的数据数量、数据种类的激增——很明显,后者在推动大数据发展的同时,意味着更多的数据源、更多的数据访问请求,也就是更多需要安全防护的数据类型和数据系统,而这自然是企业面临复合型安全风险的重要原因。

与大数据集成是安全产品未来一段时间的热点

姚翔表示,针对企业面临复合型安全风险,惠普提供了一系列整合但在各个方面有所针对性的解决方案:“安全包括大数据、数据信息优化是惠普重点的推广方向,而我们做的所有事情都是针对这三个方向来的。第一是加固受攻击面,包括边缘的网络设备、Web及整个互联网所交付的部分,要加固防护。第二是加强风险管理,主要是对外防护,而安全管理所涉及的方面是对内对外。以前安全也有一些比较大的安全事件跟内部员工有很大的关系。所以这是我们要加强风险管理的原因。第三,主动防护信息。”

姚翔表示,惠普安全的产品线随着惠普在安全及软件上的一些收购,会更加充实。

破解安全迷局:将综合、实时关联与内容分析相结合

“大数据有一个倾向是一位追求大而不追求挖掘,光有大数据而不挖掘对数据是没有任何意义的。”姚翔认为,应用与业务分析类似的大数据理念——着重数据分析甚至是实时分析——对企业的安全工作同样大有裨益。

姚翔认为,尤其是在互联网无处不在的时代,企业实际上“相当于把整个IT管理都放在了网络上”,如果企业的IT技术水平存在问题和漏洞,“谁都可以挑战你的IT管理”,这将导致企业的首席安全官或CIO陷入手足无措的境地:“首席安全官面临的是黑客在不停地挑战他,他不知道谁会攻击他,以什么样的技术来攻击他。通常首席信息官会觉得手足无措,他不知道该做什么,他无法跟踪安全最新的进展。”

通过对大数据——企业内部或企业外部的——分析,实现前瞻性、深层次、可信度高的预判,从而有的放矢的解决企业的安全漏洞和隐患被姚翔认为将会对企业安全领域产生极大的变革性影响,而更进一步与云计算的结合,则能够将企业的安全管理水平推向一场革命性的进步。

HP ArcSight Express 4.0 正在不断加强

而惠普在这其中的核心,就是HP ArcSight Express 4.0,惠普方面表示,针对数据量大但资源有限的中型企业,HP ArcSight Express 4.0将安全信息和事件管理(SIEM)、日志管理和用户活动监控整合成为开箱即用解决方案,包括可连接至HP ArcSight IdentityView 和 HP RepSM的连接器。该解决方案能以低成本高收益的方式快速简化安全事件的收集、分析和管理。

HP ArcSight Express 4.0这一集成解决方案的核心意义在于,通过从数百个数据源整合信息,从而迅速发现潜在安全威胁,与此同时,还可以可监视安全异常的用户和应用活动,如可疑行为等,姚翔表示,HP ArcSight Express 4.0在两个方面具有业界领先的优势:1、使用最新的最新的CORR-Engine,而非传统的Oracle关系型数据库,而是使查询速度提高几十倍以上;2、信誉安全监视器,基于惠普DVLabs所提供的数据,建立“安全黑名单”,保证企业安全。

但对于惠普及其安全客户群体来说,HP ArcSight Express 4.0只是其为“云+大数据=安全变革”所提供的核心,其整体解决方案与融合性的安全体验才是其最大的竞争优势,而Autonomy的加入则更带来了显著的变化。

惠普安全:云+大数据=安全变革

首先,惠普将HP ArcSight的安全信息与事件管理(SIEM)功能与HP Autonomy IDOL内容分析引擎进行了整合,从而能自动识别用户与各类数据进行交互的环境、概念、情绪和使用模式,这一解决方案通过解读原始安全数据的含义从而扩大了企业安全监视功能的覆盖范围。通过对与数据相关的人力情绪(如行为模式等)进行跟踪和分析,企业能够更迅速地识别之前被忽视的威胁——Autonomy一直引以为傲的语义分析能力,不仅在惠普存储的内容管理、内容归档解决方案中加以利用,在安全领域同样有了用武之地。

据姚翔介绍,HP Autonomy能帮助企业通过数据了解内部及外部的互动行为,而全新的惠普ArcSight云事件收集器框架(HP ArcSight Cloud Connector Framework)则能帮助企业轻松收集云服务供应商的应用事件和日志数据。云事件收集器框架基于行业标准协议,能够提供统一、实时的视图,以便企业了解用户活动,并为内部和云应用监视威胁。

其次,惠普尝试在安全解决方案中引入Hadoop平台,在加速大数据分析的同时,将企业多种来源的数据——结构化的和非结构化的——加以整合,从而形成更加完整的数据集合,而这也正是Autonomy的优势所在。

HP ArcSight/Hadoop Integration Utility为即插即用型平台,可将HP ArcSight 6.0c与Apache™ Hadoop™进行无缝集成。两种技术的结合可加速挖掘大数据存储的流程,从而提供一个更完整的事件视图,并更快识别安全攻击趋势。

该解决方案将HP ArcSight的报告、搜索和关联功能与Hadoop大型、集中存储库进行结合,为企业提供处理PB级信息存储容量。开源的机器学习算法、统计分析、异常检查和预测分析均可用于存储的数据,以便更好地洞察并解决安全事件。

第三,惠普推出“云CEF计划”,这一计划旨在提供面向SaaS监视的行业标准框架,通过基于REST的Flex接口,将HP ArcSight从本地数据中心接入包括box、Google、Salesforce、Amazon在内的SaaS服务提供商,实现从本地到云的安全延伸,提高企业从本地中心到云中心的安全可见性。

CEF计划意味着惠普正在面向混合云规划其安全解决方案

“目前我们很多数据中心大部分还是在一个数据中心里的IT建设为主,很多CIO给我们提了一个问题,大家都需要云,如果客户想把销售系统或者是CRM系统放到Salesforce里面,但又不在我的管控里,这是一个挑战,放过去以后业务可以做,可是是不是有安全的异常发生威胁?所以惠普跟这些SaaS厂商提供了一个云CEF计划,提供了一个标准的接口规范,尽管你的数据放在Salesforce上,惠普可以提供一个接口,以实现这种延伸。”姚翔表示,这也是惠普在安全策略上的优势,惠普希望“帮助用户搭建一个从本地到云的安全全覆盖”。

随着惠普将Hadoop、实时分析、无边界云中心等理念加入到安全市场中来,惠普作为全面的IT基础设施提供商的优势正在显现出来,与此同时,惠普通过收购,将业界成功的技术、产品——如Autonomy——整合到安全产品线中,也进一步提升了惠普安全的竞争实力。

而最值得期待的,是惠普如何将安全解决方案融合到惠普的融合基础设施(CI)解决方案中,随着惠普将服务器、存储、虚拟化、云架构甚至是网络融合到统一的惠普CI体系中,安全,或许是惠普CI在2013年的新竞争力?